相关专题：“震荡波”病毒防杀秘籍

    杀毒工具：

    ·瑞星“震荡波”专杀
    ·金山杀“震荡波”建议
    ·江民“震荡波”专杀
    ·熊猫“震荡波”专杀
    ·趋势科技震荡波补丁
　

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

　　记者 张建新

　　计算机病毒“震荡波”出现后，近期又出现了“震荡波”变种E和“震荡波清除者”病毒。国家计算机病毒应急处理中心16日发布了这两个病毒的技术报告，提醒广大用户要及时采取相关措施。

　　病毒名称：“震荡波清除者”(Worm_Cycle.A)

　　感染系统：Win2000/WinXP/Win2003/Win NT 4.0

　　病毒特征：

　　1、生成病毒文件

　　病毒在%system%目录下生成自身的拷svchost.exe，还在%Windows%目录下生成文件cyclone.txt。

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%%system%\svchost.exe”HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%system%\svchost.exe”

　　3、通过系统漏洞主动进行传播

　　病毒在TCP/3332端口开启后门服务，接受连接，在UDP/69端口上运行一个TFTP服务器下载蠕虫副本。病毒对外连接随机产生主机的TCP/445端口，去感染其他的主机。

　　4、终止进程

　　病毒会终止以下进程，msblast.exe、avserve.exe、avserve2.exe和skynetave.exe，这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。

　　5、发动DoS攻击

　　当系统时间为5月18日，病毒将对网站www.irna.com和www.bbcnews.com发动DoS攻击。

　　病毒名称：“震荡波”变种E(Worm_Sasser.E)

　　感染系统：Win2000/WinXP

　　病毒特征：

　　1、生成病毒文件

　　病毒运行后，在%System%目录下生成自身的拷贝，名称为LSASSS.EXE。

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建“LSASSS.EXE”= %System%\LSASSS.EXE

　　3、通过系统漏洞主动进行传播

　　病毒通过在已被感染的机器上开启TCP端口1023建立一个FTP服务器(机器A)，用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP，当发现存在漏洞的系统连接成功时，被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击，被攻击的计算机(机器B)将会自动连接已被感染计算机(机器A)的1023端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开1022端口的远程壳。

　　4、危害性

　　受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能持续很短时间就无法浏览甚至断网等现象。病毒会对网络性能有一定影响，尤其局域网可能造成网络瘫痪。

　　清除该病毒的相关建议：

　　1、安全模式启动

　　重新启动系统同时按下按F8键，进入系统安全模式

　　2、注册表的恢复点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除右侧面板中的"LSASSS.EXE" = %SystemRoot%\LSASSS.EXE

　　3、删除病毒释放的文件

　　点击“开始--〉查找--〉文件和文件夹”，查找文件“LSASSS.EXE”，并将找到的文件删除。

　　4、安装系统补丁程序

　　到以下微软网站下载安装补丁程序：www.microsoft.com/technet/security/bulletin/MS 04-011.mspx，或者在IE浏览器的工具->Windows Update升级系统。

　　5、重新配置防火墙

　　重新配置边界防火墙或个人防火墙，关闭TCP端口1022和1023。(完)